关于安全监控平台如何创建?
对于企业安全管理者是个比较头疼的问题,那么我们逐个分析?
首先我们是选择是商业/开源
海量的告警信息有人看吗?会有自动化处理吗?
如何降低误报率?如何精确匹配异常行为?
监控的范围以及层次,以核心资产为中心进行保护,明确现有环境的边界,尽量将边界全覆盖
一、网络层
数据源:出口流量镜像
网络IDS 起到了眼睛的作用,绝大多数××× 可以通过编辑网络IDS的规则便可以发现,比如SQLMAP, AWVS等等。
国内诸如镜像流量分析的威胁感知系统也有很多家,就不一一举例。
二、日志的存储及展示
数据源:出口流量镜像
将外部访问的HTTP/HTTPS数据从网络流量中提取出来,以便后续使用。
可以建立一个大型日志分析平台,将日志范式化以后集中展现,使用报表查询的方式精确定位相关所需的行为日志。
三 访问日志(HTTP/HTTPS)&WEB 服务器日志
数据源:出口流量镜像
工具:E.L.K
四 主机层
数据源:主机IDS-OSSEC
主机的syslog 文件变更记录、端口状态等
五 网络边界
防火墙技术
waf
nmap与域名变更信息同步
利用nmap对公网地址段扫描实时获取边界对外发布的端口信息,持续监控域名资产。
六 审计设备
数据库审计
基于实例的数据库 关系型数据库
。。。。。
以上就是穷人玩安全监控,基础台子已经搭好,那剩下的就是开发工作量了
见下图:
